Web Hosting firmaları üzerinde host edilen domain’lerde sıklıkla karşılaştığımız bir WebShell olan Zehir.asp için sunucu üzerinde bazı önlemleri almanız gereklidir.

Zehir.asp dizinleri listelemek ve dosyalar üzerinde işlem yapabilmek için Windows üzerinden Standart bir COM nesnesi olan Scripting.FileSystemObject bileşenini kullanır.

Önlem olarak FileSystemObject bileşenini tamamen kaldırabilirsiniz fakat sunucu üzerinde farklı servislerde bu componenti kullanacağından pek tercih edilen bir durum değildir. Yinede componenti kaldırmak için aşağıdaki komutu kullanabilirsiniz.

regsvr32 /u C:\Windows\System32\scrrun.dl
regsvr32 /u C:\Windows\SysWOW64\scrrun.dll

Daha etkili bir yöntem ise direkt scrrun.dll’in user haklarını kaldırmak böylede direkt IIS üzerinde Anonim haklarla çalışan uygulama çalışacak fakat sadece kendi hakları çerçevesinde hapsedilecektir.

Bunun için aşağıdaki komutları uygulayınız.

takeown.exe /F C:\Windows\SysWOW64\scrrun.dll
takeown.exe /F C:\Windows\System32\scrrun.dll
icacls.exe C:\Windows\SysWOW64\scrrun.dll /remove:g Users /Q /C
icacls.exe C:\Windows\System32\scrrun.dll /remove:g Users /Q /C

Bonus

WebShell’ler dosya işlemlerinin yanı sıra sunucu üzerinden uygulama çalıştırma denemeleride yaparlar. Bunu yaparkende yine FileSystemObject benzeri olan Windows Scripting componentini sömürmeye çalışırlar.  Bu aşamada scrrun.dll için yaptığınız işlemleri

wshom.ocx

içinde yapmanızı tavsiye ederiz.

Not: MaestroPanel bu işlemleri sunucu üzerinden best-practice yapılandırmaktadır.

Tagged:

Yazar